Apolo rojo

Grupo chino de ciberespionaje

Red Apollo (también conocido como APT 10 por Mandiant , MenuPass por Fireeye , Stone Panda por Crowdstrike y POTASSIUM por Microsoft ) ^{[1] [2]} es un grupo de ciberespionaje patrocinado por el estado chino que opera desde 2006. En una acusación formal de 2018, el Departamento de Justicia de los Estados Unidos atribuyó el grupo a la Oficina de Seguridad del Estado de Tianjin del Ministerio de Seguridad del Estado . ^[3]

El equipo fue designado como una amenaza persistente avanzada por Fireeye, que informó que apunta a empresas aeroespaciales, de ingeniería y de telecomunicaciones, así como a cualquier gobierno que considere rival de China .

Fireeye afirmó que podrían estar apuntando a la propiedad intelectual de instituciones educativas como una universidad japonesa y es probable que expandan sus operaciones al sector educativo en las jurisdicciones de naciones aliadas de los Estados Unidos . ^[4] Fireeye afirmó que habían sido rastreados desde 2009, sin embargo, debido a la naturaleza de baja amenaza que habían planteado, no eran una prioridad. Fireeye ahora describe al grupo como "una amenaza para las organizaciones en todo el mundo". ^[4]

Táctica

El grupo ataca directamente a los proveedores de servicios de tecnología de la información gestionados (MSP) mediante RAT . La función general de un MSP es ayudar a gestionar la red informática de una empresa. Los MSP se vieron frecuentemente comprometidos por Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor y ChChes, mediante el uso de correos electrónicos de phishing selectivo . ^[5]

Historia

2014 a 2017: Operación Cloud Hopper

La Operación Cloud Hopper fue un ataque y robo de información a gran escala que tuvo lugar en 2017 contra MSP en el Reino Unido (RU), Estados Unidos (EE. UU.), Japón, Canadá, Brasil, Francia, Suiza, Noruega, Finlandia, Suecia, Sudáfrica, India, Tailandia, Corea del Sur y Australia. El grupo utilizó a los MSP como intermediarios para adquirir activos y secretos comerciales de agencias gubernamentales, de ingeniería, fabricación industrial, venta minorista, energía, productos farmacéuticos y telecomunicaciones de clientes de MSP.

La Operación Cloud Hopper utilizó más de 70 variantes de puertas traseras, malware y troyanos . Estos se distribuyeron a través de correos electrónicos de phishing selectivo. Los ataques programaron tareas o aprovecharon servicios/utilidades para persistir en los sistemas Microsoft Windows incluso si se reiniciaba el sistema informático. Instalaban malware y herramientas de piratería para acceder a los sistemas y robar datos. ^[5]

Datos de personal de la Marina de los EE. UU. de 2016

Los piratas informáticos accedieron a los registros relacionados con 130.000 miembros de la Marina de los EE. UU. (de un total de 330.000). ^[6] En virtud de estas acciones, la Marina decidió coordinarse con Hewlett Packard Enterprise Services , a pesar de que se habían dado advertencias antes de la violación. ^[7] Se exigió que todos los marineros afectados fueran notificados.

Acusaciones de 2018

Una acusación formal de 2018 mostró evidencia de que CVNX no era el nombre del grupo, sino el alias de uno de los dos piratas informáticos. Ambos usaron cuatro alias cada uno para que pareciera que habían sido más de cinco los piratas informáticos los que habían atacado.

Actividades posteriores a la acusación

En abril de 2019, APT10 atacó a organizaciones gubernamentales y privadas en Filipinas . ^[8]

En 2020, Symantec implicó a Red Apollo en una serie de ataques a objetivos en Japón. ^[9]

En marzo de 2021, atacaron a Bharat Biotech y al Serum Institute of India (SII) , el mayor fabricante de vacunas del mundo, para exfiltrar su propiedad intelectual . ^[10]

Véase también

• Relaciones entre China y Estados Unidos
• La ciberguerra de China

Referencias

1. "APT10 (MenuPass Group): Nuevas herramientas, campaña global, última manifestación de una amenaza de larga data". FireEye . Archivado desde el original el 28 de abril de 2021 . Consultado el 7 de marzo de 2021 .
2. Kozy, Adam (30 de agosto de 2018). "Dos pájaros de un tiro PANDA". Archivado desde el original el 15 de enero de 2021. Consultado el 7 de marzo de 2021 .
3. "Dos piratas informáticos chinos asociados al Ministerio de Seguridad del Estado acusados ​​de realizar campañas globales de intrusión informática dirigidas a la propiedad intelectual y la información comercial confidencial". Departamento de Justicia de los Estados Unidos . 2018-12-20. Archivado desde el original el 2021-05-01 . Consultado el 2021-03-07 .
4. «APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat « APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat». FireEye . 6 de abril de 2017. Archivado desde el original el 28 de abril de 2021. Consultado el 30 de junio de 2019 .
5. "Operación Cloud Hopper: lo que necesita saber - Noticias de seguridad - Trend Micro USA". trendmicro.com . 10 de abril de 2017. Archivado desde el original el 30 de junio de 2019 . Consultado el 30 de junio de 2019 .
6. "Los piratas informáticos chinos supuestamente robaron datos de más de 100.000 miembros de la Marina de Estados Unidos". MIT Technology Review . Archivado desde el original el 18 de junio de 2019. Consultado el 30 de junio de 2019 .
7. "Datos de marineros de la Armada de EE. UU. 'Accedidos por individuos desconocidos'". bankinfosecurity.com . Archivado desde el original el 2019-06-30 . Consultado el 2019-07-12 .
8. Manantan, Mark (septiembre de 2019). "La dimensión cibernética de los enfrentamientos en el Mar de China Meridional". N.º 58. The Diplomat. Archivado desde el original el 17 de febrero de 2016. Consultado el 5 de septiembre de 2019 .
9. Lyngaas, Sean (17 de noviembre de 2020). «Symantec implica a APT10 en una amplia campaña de piratería informática contra empresas japonesas». www.cyberscoop.com . Cyberscoop. Archivado desde el original el 18 de noviembre de 2020 . Consultado el 19 de noviembre de 2020 .
10. N. Das, Krishna (1 de marzo de 2021). «El grupo de piratas informáticos chino Red Apollo (APT10) había identificado lagunas y vulnerabilidades en la infraestructura de TI y el software de la cadena de suministro de Bharat Biotech y el Serum Institute of India (SII), el mayor fabricante de vacunas del mundo». Reuters . Archivado desde el original el 3 de mayo de 2021. Consultado el 1 de marzo de 2021 .